Krankenhäuser und Gesundheitseinrichtungen stellen eine der wichtigsten Institutionen einer Gesellschaft dar. Ein Ausfall oder eine Störung hat das Potenzial, signifikante Folgen für die öffentliche Sicherheit nach sich zu ziehen. [...]
Aufgrund dieser Relevanz sowie der Tatsache, dass es in der Vergangenheit bereits zu Cyberangriffen auf Gesundheitseinrichtungen gekommen ist, werden sie vom Bundesministerium für Inneres zu den sogenannten »Kritischen Infrastrukturen« gezählt. Daraus resultieren auch spezielle Regelungen im Hinblick auf die IT-Sicherheit wie beispielsweise das Österreichische Programm zum Schutz kritischer Infrastrukturen (APCIP). Neben der EU-Datenschutzgrundverordnung (DSGVO) und dem Datenschutzgesetz gibt es in Österreich mit dem Netz- und Informationssystemsicherheitsgesetz (NISG) seit 2018 erstmals umfassende Regelungen im Bereich Cybersicherheit für strategisch wichtige Unternehmen. Im Gesundheitswesen werden auch kleinere Krankenhäuser als bisher von den Vorgaben des IT-SG betroffen sein.
Warum gibt es IT-Sicherheitsgesetze?
IT-Sicherheitsgesetze sind eine Reaktion auf die immer größer werdende Abhängigkeit systemrelevanter Organisationen von IT-Infrastrukturen. Eine Beeinträchtigung, insbesondere in Schlüsselbereichen, kann das öffentliche Leben maßgeblich beeinflussen. Hinzu kommt, dass derartige Cyberattacken in aktuellen politischen Krisen und bei wichtigen politischen Entscheidungen wie beispielsweise Wahlen, bereits eingesetzt wurden, um den jeweiligen »Gegner« zu beeinflussen. In der Öffentlichkeit werden solche Angriffe punktuell wahrgenommen, wie beispielsweise Stuxxnet (2010), der Bundestagshack (2015) oder Wannacry/NotPetya (2017). Der strategischen Überlegung folgend, dass künftige Konfliktsituationen teilweise oder komplett über IT-Infrastrukturen ausgetragen werden könnten, hat das Bundesministerium für Inneres mit dem Österreichischen Programm zum Schutz kritischer Infrastrukturen (APCIP) eine Vorsichtsmaßnahme ergriffen, um vor allem essenzielle Bereiche des täglichen Lebens zu schützen.
Krankenhäuser und medizinische Einrichtungen waren in keinem der bisher gesehenen politischen Angriffe primäre Ziele. Dies mag damit zusammenhängen, dass nach der Genfer Konvention diese Einrichtungen selbst im Kriegsfall besonderen Schutz erhalten. Leider gilt diese Aussage ausschließlich für staatlich organisierte Angriffe. So wurden medizinische Einrichtungen durchaus Opfer von privaten Akteuren: Im Jahr 2019 wurden Krankenhäuser Opfer der als »Emotet« bekannt gewordenen Erpresser, deren technische Wurzeln direkt auf den politischen Angriff auf die Ukraine mit NotPetya (2017) zurückzuführen sind. Aber auch gegen Massenangriffe, wie sie speziell mit klassischer Ransomware durchgeführt werden, zeigen sich Kliniken immer wieder verwundbar. Aufgrund der Tatsache, dass meist nur punktuell einzelne Häuser betroffen waren, kam es bisher kaum zu Versorgungsengpässen oder ausfallbedingten Schädigungen.
Aktuelle Gefährdungslage für Krankenhäuser
Betrachtet man IT-Angriffe allgemein, so kann man sagen, dass weit über 90 Prozent dieser Attacken per E-Mail mit entsprechender User-Interaktion starten. IT-Experten stimmen darin überein, dass eine entsprechende Schulung des Personals erfolgreiche Angriffe zumindest minimieren kann.
Die Herausforderung speziell in Krankenhäusern und medizinischen Einrichtungen ist dabei, dass Angreifer hier einen besonderen Vorteil gegenüber der Verteidigung haben. So sind Gesundheitsinformationen generell vertraulich. E-Mails mit entsprechenden vertraulichen Inhalten dürfen vom medizinischen Personal nicht an die IT-Administration weitergeleitet werden. Insbesondere in der aktuellen Krise kommt hinzu, dass Neuigkeiten und Nachrichten rund um das Thema Covid-19 gerade bei ohnehin an der Grenze der Belastbarkeit arbeitenden Fachkräften auf berufliches Interesse stoßen müssen. Eine Tatsache, die auch Cyberkriminellen natürlich bewusst ist.
Die Gegenmaßnahmen lassen sich in zwei Bereiche untergliedern. Zum einen empfiehlt es sich, immer eine gewisse »E-Mail-Hygiene« zu beachten. So sollten ausführbare Dateien grundsätzlich nicht in einer normalen E-Mail-Kommunikation verwendet werden. Diese können einfach über diverse Filter geblockt werden. Gleiches gilt in den allermeisten Fällen für Makros in Office-Dokumenten.
Der zweite Bereich sind kommerzielle Sicherheitstools, die im Idealfall nicht nur die Inhalte der E-Mails auf Schadcode prüfen (sogenannte »Contentfilter«), sondern auch die Quelle (Reputationsfilter). Da immer mehr Unternehmen bereits Maßnahmen zur E-Mail-Hygiene umsetzen, wechseln Angreifer immer häufiger auf den Einsatz von Links in E-Mails. Diese sollten deshalb ebenfalls mit entsprechenden Techniken überprüft werden.
Für die Verbreitung von Malware innerhalb eines Netzwerkes stehen vor allem zwei Begriffe: »Sicherheitslücken« und »Passwörter«. Kommen Hacker an Passwörter, egal ob mit Phishing oder der Installation entsprechender Tools, können sie sich praktisch ungehindert in einem Unternehmen bewegen. Die Grundregel, sichere Passwörter zu implementieren und diese regelmäßig zu wechseln, ist daher weit verbreitet. Für besonders schützenwerte Daten ist eine Zwei-Faktor-Authentifizierung empfehlenswert.
Die Herausforderungen des Patch-Managements
Beim Patch-Management ist die Situation speziell in Krankenhäusern wesentlich schwieriger. Sicherheitslücken und fehlende beziehungsweise nichtexistierende Patches sind leider immer noch das Problem der IT. Zusätzlich stellen die verschiedenen Hersteller unterschiedlich ausgereifte Patches zur Verfügung. Daraus ergibt sich das Problem, diese korrekt zu implementieren. Daher braucht es für bestimmte Bereiche der IT einen „formalen Freigabeprozess“, um Risiken für die fortgesetzte medizinische Behandlung auszuschließen. Dieser Prozess erfordert das Testen der entsprechenden Patches auf einem unkritischen System und eine entsprechende Risikobetrachtung. Auch wenn es erfahrungsgemäß sinnvoll ist, sorgt dieser Prozess teilweise für lange Verzögerungen, bis der Patch implementiert werden kann. Im Ernstfall, also einer durch diesen Patch verursachten Störung, kann es auch zu einer Nichtimplementierung kommen.
Die Patching-Problematik wird in Krankenhäusern noch verstärkt, da durch Budget- und Personalherausforderungen oftmals veraltete Applikationen und Betriebssysteme eingesetzt werden. Dadurch wird die Installation immer problematischer, beziehungsweise kann es dazu kommen, dass benötigte Patches herstellerseitig nicht mehr zur Verfügung gestellt werden. Hinzu kommt, dass Bereiche der Medizintechnik ebenfalls in die IT-Infrastruktur integriert und damit anfällig gegen Verbreitungstechniken von Angreifern sind. Hier liegt eine der Hauptproblematiken der IT-Sicherheit in Krankenhäusern. Denn die Einrichtungen der Medizintechnik sind entscheidend für das übergeordnete Ziel der Sicherheitsgesetze: die Wahrung des Patientenwohls. Gleichzeitig sind es diese Geräte, die häufig nur selten von der IT betrachtet werden können oder dürfen. Für die einwandfreie Funktion ist oft der Hersteller selbst zuständig, weshalb sich die Implementierung eines Patches oftmals stark verzögert.
Eine strikte Segmentierung und Abschottung kritischer Systeme zu anderen Bereichen der IT ist daher eine immer wiederkehrende Empfehlung. Der Vorteil der Segmentierung liegt darin, das jeweils schützenswerte Segment mit Barrieren, wie Firewalls und vor allem IPS (Intrusion Prevention Systeme), gegen interne Bereiche zu schützen, die gefährdeter sind. Das Ziel dabei ist, die für das Patientenwohl unerlässliche IT soweit abzukoppeln, dass sie selbst bei einem Totalausfall aller anderen Systeme nach wie vor funktioniert.
Die Lösung der Patch-Problematik
In der Realität lässt sich dieser Ansatz allerdings oftmals jedoch nur in Teilbereichen der IT umsetzten. So gibt es für unkritische Systeme clientseitig geeignete Patch-Prozesse, die vollkommen automatisch durchgeführt werden können. Wo immer dies möglich ist, ist das der zu präferierende Prozess. Wie eingangs erwähnt, ist das nicht mehr möglich, wenn Systeme älter werden oder sie für Teile der IT kritisch sind. In diesen Fällen fordert auch der B3S einen Freigabeprozess, der idealerweise auch eine „Rollback“-Option bietet. Diese Vorgabe, ist auf die Tatsache zurückzuführen, dass jeder Patch ein System verändert.
Deshalb sollte zunächst geklärt werden, ob die Implementierung des Patches nicht zu größeren Problemen führen kann als die Schwachstellen an sich. Insbesondere in der IT ist das Abschätzen des Risikos, das von einer Nichtinstallation ausgeht, eine fast unlösbare Aufgabe, die vor allem Zeit benötigt. Die gängige Praxis ist deshalb sehr oft, dass in der IT-Abteilung entschieden wird, ob der Patch implementiert wird oder nicht. Daraus ergibt sich, dass vor allem in kritischen Bereichen, speziell bei Servern, häufig ein Aktualitätsmangel herrscht, der über die Zeit immer schwerwiegender wird. Um hier nun Abhilfe zu schaffen, gibt es im Bereich der IPS-Technologie eine Spezialtechnik, die sich „virtuelles Patchen“ nennt. Die Idee dabei ist es, anstatt einen Patch zu installieren, diesen zu „simulieren“ und damit das System gegen Angriffe nach außen abzusichern.
Ransomware als größte Herausforderung
Ist eine Malware erst einmal unerkannt in ein System eingedrungen und hat sich verbreitet, besteht der letzte Schritt darin, Schaden zu verursachen. Aufgrund des dramatischen Effektes gehört Ransomware zu den beliebtesten Tools von Angreifern. Allerdings ist die Zahlungsbereitschaft der betroffenen Opfer nicht mehr so hoch, wie zu den Anfangszeiten der Welle. Nicht zuletzt deshalb werden der erzeugte Schaden sowie die geforderten Summen immer höher. Politisch motivierte Akteure nutzen Ransomware wie beispielsweise bei Wannacry oder NotPetya, um Schaden anzurichten.
Auch wenn dies die offensichtlichen Anzeichen einer Infektion sind, so muss bedacht werden, dass die Täter sich bereits verhältnismäßig lange im System bewegt haben, um dieses Ausmaß an Zerstörung erzeugen zu können. Deshalb muss bei einem erfolgreichen Angriff auch immer davon ausgegangen werden, dass ein Angreifer noch weitere Aktionen, wie das Ausspionieren von Daten oder das Identifizieren anderer potentieller Opfer, durchgeführt hat. Von der Emotet-Gruppe ist beispielsweise bekannt, dass sie sich in befallenen Systemen umsieht und den E-Mail-Verkehr ausliest. Das wird anschließend unter anderem für neue Angriffe verwendet oder für sogenannten Business E-Mail Compromise (BEC) ausgenutzt.
Rechtzeitig eingreifen
Die Tatsache, dass sich Angreifer teilweise über Wochen und Monate in einem Netzwerk ausbreiten, stellt sowohl Problem als auch Chance für die Betroffenen dar. Das Problem ist, dass die Angreifer viel Erfahrung darin haben, sich unerkannt zu verbreiten, um kaum Aufmerksamkeit in der täglichen Flut an Information zu erzeugen. Ist die IT-Security also im Normalzustand bereits aus- oder sogar überlastet, ist die Wahrscheinlichkeit hoch, dass der Angreifer sein Ziel erreichen wird.
Detection & Response
Die Chance besteht allerdings darin, dass man durch Auffälligkeiten und Anomalien im Netzwerk auf diese Situation aufmerksam wird und dann schnell entsprechende Gegenmaßnahmen einleiten kann. Die benötigten Schritte sind dabei:
- Erkennung des Angriffes (Detection): In der Regel bedeutet eine einzelne Anomalie lediglich, dass irgendetwas Ungewöhnliches passiert. Im ersten Schritt geht es deshalb darum herauszufinden, was passiert und wo es passiert: Gibt es beispielsweise Zusammenhänge zu anderen Vorkommnissen oder Geräten? Wurden kritische Systeme kompromittiert? Gab es bereits Datenabfluss? Wie und wann ist das Problem ins Netzwerk gelangt? Je nach Ergebnis dieser Untersuchung stellt sich die Frage, wie schwer der Angriff ist und welche Ziele er hat. In KRITIS-Umgebungen bedeutet dies in der Regel auch, dass das BSI möglichst frühzeitig in Kenntnis gesetzt wird, um in der jeweiligen Situation beratend tätig zu werden oder aber in besonders schweren Fällen auch andere KRITIS-Einrichtungen zu warnen.
- Gegenmaßnahmen (Response): Wurde ein Angriff erkannt oder erfolgte eine Warnung durch das BSI, besteht der nächste Schritt darin, geeignete Gegenmaßnahmen einzuleiten. Diese müssen nicht nur die Systeme wieder bereinigen, beziehungsweise wiederherstellen, sondern auch eine Neuinfizierung verhindern.
Für beide Schritte ist der Einsatz entsprechender Technologie ratsam. Im Industrie-Kontext heißen die zugehörigen Konzepte »Detection and Response«. Im Fokus stehen hier zuerst die Endpoint-Systeme (EDR = Endpoint Detection and Response). Die überwiegende Anzahl der bekannten Angriffe landen oder starten auf Endpoints. Aus diesem Grund ist der Einsatz einer Technologie sinnvoll, die entsprechende Zusammenhänge erkennt. Gerade aber im KRITIS-Kontext sind häufig vor allem die Systeme entscheidend, auf denen keine eigene Software installiert oder betrieben werden darf. Davon sind beispielsweise Geräte aus der Medizintechnik betroffen. Ein Ausfall dieser Geräte hat entsprechend hohe Auswirkungen. Deshalb ist es nur logisch, diese Technik auch netzwerkseitig einzusetzen.
Verschiedene Ebenen
Die aktuell fortschrittlichsten Technologien verbinden deshalb Detection and Response auf verschiedenen Ebenen, korrelieren die erzeugten Daten und legen so Zusammenhänge dar. Zudem können Gegenmaßnahmen in der Regel auf gleichem Wege »rückwärts« durchgesetzt werden. Verknüpft man nun Detection and Response mit der klassischen Schutzleistung, die Security-Produkte bieten, so können auch Neuinfektionen automatisch beseitigt werden. Der Industriebegriff für diese Art Konzept ist XDR wobei das »X« für übergreifend (englisch »cross«) steht.
Für Kliniken und Gesundheitseinrichtungen bedeuten die Regelungen der IT-Sicherheitsgesetze Herausforderungen. Nicht nur, weil im Falle eines Verstoßes Geldbußen drohen. Letzten Endes ist bei Angriffen auf die IT vor allem die Sicherheit der Patienten gefährdet, was es unter allen Umständen zu vermeiden gilt.
*Richard Werner ist Business Consultant bei Trend Micro.
Be the first to comment